Американські законодавці звернулися до Федеральної торгової комісії із закликом провести розслідування щодо компанії Flock Safety, яка керує мережею камер для зчитування номерних знаків. Парламентарі підозрюють, що недостатній рівень кібербезпеки на платформі Flock наражає на небезпеку дані користувачів та дозволяє хакерам чи шпигунам отримати доступ до конфіденційних відомостей.
Про це розповідає ProIT
Вразливості в захисті даних Flock Safety
У листі сенатора Рона Вайдена (демократ, штат Орегон) і конгресмена Раджі Крішнамурті (демократ, штат Іллінойс) до голови Федеральної торгової комісії Ендрю Фергюсона зазначено, що компанія не вимагає обов’язкового використання багатофакторної автентифікації (MFA). Ця функція дозволяє захистити облікові записи навіть у разі компрометації пароля, але, як підтвердили представники Flock у жовтні, її активація залишається добровільною для правоохоронців.
Законодавці підкреслюють, що у випадку, якщо зловмисники дізнаються пароль співробітника поліції, вони можуть отримати доступ до закритих розділів сайту Flock та шукати серед мільярдів зображень номерних знаків автомобілів, які збираються камерами по всій країні за кошти платників податків.
Викрадення облікових записів і реакція компанії
Flock Safety обслуговує понад 5 000 відділів поліції та приватних компаній у США. Її камери фіксують номерні знаки транспортних засобів, а правоохоронці, які мають доступ до платформи Flock, можуть відстежувати маршрути пересування автомобілів у будь-який час.
Депутати повідомили, що виявили докази викрадення облікових записів деяких правоохоронців, які надалі були опубліковані в Інтернеті. Вони посилаються на дані компанії Hudson Rock, яка спеціалізується на виявленні облікових даних, що потрапили до рук шкідливого програмного забезпечення.
Незалежний дослідник у сфері безпеки Бен Джордан також надав парламентарям скріншот, який демонструє, що на російському форумі кіберзлочинців пропонують купити доступ до логінів Flock.
“Flock не вимагає обов’язкової багатофакторної автентифікації, що компанія підтвердила Конгресу в жовтні”.
У листі головного юриста Flock Safety Дена Гейлі зазначається, що з листопада 2024 року MFA увімкнено за замовчуванням для всіх нових клієнтів, а 97% правоохоронних органів вже активували цю опцію. Водночас близько 3% клієнтів, а це потенційно десятки відомств, відмовилися від переходу на MFA з «особистих причин». Прес-секретарка компанії Голлі Бейлін відмовилась уточнити точну кількість таких клієнтів, а також не повідомила, чи входять до них федеральні структури і чому Flock не наполягає на обов’язковому впровадженні захисту.
Раніше повідомлялося, що Управління з контролю за обігом наркотиків США скористалося паролем місцевого поліцейського для доступу до камер Flock у пошуках особи, підозрюваної у порушенні імміграційного законодавства, без відома самого поліцейського. Після цього інциденту поліція Палос-Гайтс активувала багатофакторну автентифікацію для своїх облікових записів.
